Rocinante Mobile Malware

Una nova campanya de programari maliciós s'adreça als usuaris mòbils del Brasil, desplegant un troià bancari per Android anomenat Rocinante. Aquest programari maliciós pot registrar les pulsacions de tecla mitjançant l'explotació del Servei d'Accessibilitat i recollir informació d'identificació personal (PII) de les víctimes mitjançant pantalles de pesca que imiten diversos bancs. A més, utilitza les dades robades per fer-se càrrec del dispositiu, utilitzant els privilegis del servei d'accessibilitat per obtenir accés remot complet al dispositiu infectat.

Disfressar-se com a aplicacions legítimes

El programari maliciós s'adreça a diverses institucions financeres destacades, com ara Itaú Shop i Santander, amb aplicacions falses que es fan passar per Bradesco Prime i Correios Celular, entre d'altres:

• Livelo Pontos (com.resgatelivelo.cash)
• Correios Recarga (com.correiosrecarga.android)
• Bratesco Prine (com.resgatelivelo.cash)
• Mòdulo de Segurança (com.viberotion1414.app)

L'anàlisi del codi font del programari maliciós revela que els operadors internament es refereixen a Rocinante com Pegasus o PegasusSpy. Tanmateix, cal aclarir que aquest Pegasus no té connexió amb el programari espia multiplataforma desenvolupat pel proveïdor de vigilància comercial NSO Group.

Connexions amb altres famílies de programari maliciós

Pegasus s'atribueix a un actor d'amenaces conegut com DukeEugene, que també ha desenvolupat soques de programari maliciós similars com ERMAC , BlackRock , Hook and Loot, segons una anàlisi recent de Silent Push.

Els investigadors han descobert que Rocinante inclou elements influenciats per versions anteriors d'ERMAC. La filtració de 2023 del codi font d'ERMAC pot haver contribuït a aquest desenvolupament. Aquesta és la primera instància en què sembla que una família de programari maliciós original ha incorporat parts del codi filtrat a les seves pròpies. També és possible que Rocinante i ERMAC representin branques separades d'un mateix projecte inicial.

El troià bancari Rocinante apunta a dades sensibles

Rocinante es difon principalment a través de llocs web de pesca dissenyats per enganyar els usuaris perquè instal·lin aplicacions de comptagotes falsificades. Un cop instal·lades, aquestes aplicacions sol·liciten privilegis de servei d'accessibilitat per supervisar totes les activitats al dispositiu infectat, interceptar missatges SMS i mostrar pàgines d'inici de sessió de pesca.

El programari maliciós també es connecta a un servidor d'ordres i control (C2) per rebre instruccions remotes, inclosa la simulació d'esdeveniments de tacte i lliscament. La informació personal recollida s'envia a un bot de Telegram, que extreu dades útils obtingudes a través de les pàgines d'inici de sessió falses que suplanten els bancs objectiu. Aquesta informació es formatea i es comparteix en un xat accessible als delinqüents.

Els detalls varien en funció de la pàgina d'inici de sessió falsa utilitzada i inclouen informació del dispositiu, com ara el model i el número de telèfon, el número de CPF, la contrasenya o el número de compte.

Els actors d'amenaça exploten vectors d'infecció similars

El desenvolupament del troià bancari de Rocinante coincideix amb els investigadors de ciberseguretat que descobreixen una nova campanya de programari maliciós de troià bancari que s'adreça a les regions de parla espanyola i portuguesa mitjançant l'explotació del domini secureserver.net.

L'atac en diverses fases comença amb URL amenaçadores que dirigeixen els usuaris a un arxiu que conté un fitxer .hta ofuscat. Aquest fitxer activa una càrrega útil de JavaScript que realitza diverses comprovacions AntiVM i AntiAV abans de descarregar la càrrega útil d'AutoIT final. A continuació, la càrrega útil d'AutoIT s'executa mitjançant la injecció de processos, amb l'objectiu de recollir informació bancària i credencials del sistema de la víctima i exfiltrar les dades a un servidor de comandament i control (C2).